GssApi
GSSAPI 代表通用安全服务应用程序编程接口。GSSAPI 是用于执行 client-server 身份验证的通用 API。其背后的动机是,每个安全系统都有自己的 API,由于安全 API 之间的差异,向应用程序添加不同的安全系统所涉及的工作极为困难。
但是,使用通用 API,应用程序供应商可以编写通用 API,并且它可以与任何数量的安全系统一起工作。
启用此选项后,SS5 将协商安全上下文,并在客户端和服务器之间发送一些完整性和机密性受保护的消息。
SS5 已经在以下两种情况下进行了测试:
Kerberos Domain Controller MIT
Kerberos Domain Controller Windows
可以使用 Active Directory 中的服务实例帐户配置在 UNIX 系统上运行的服务。这允许完全互操作性。UNIX 系统上的 Kerberos 客户端和服务器可以使用 Windows 2000/2003 Kerberos 服务器进行身份验证。而基于 Windows2000/2003Professional 的客户端可以对支持 GSSAPI 的 Kerberos 服务进行身份验证。
与 Kerberos 主体名称不同,windows2000/2003 帐户名称不是多部分的。因此,无法直接创建名为 sample/unix1.ntdom.microsoft.com 的帐户。这样的主体实例是通过服务主体名称映射创建的。
注意:要启用 GSS 支持,请在运行 make 和 make install 之前添加 --with gssapi 选项进行配置。